Veszélyes nulladik napi windows-os sebezhetőséget fedeztek fel, adathalászok már ki is használják vírusterjesztésre.
Amikor a fájlok egy nem megbízható távoli helyről, például az Internetről vagy e-mail mellékletből kerülnek letöltésre, a Windows egy speciális attribútumot ad a fájlokhoz. Ez az úgynevezett Mark of the Web (MoTW), amely információkat tartalmaz a fájlról, például az URL biztonsági zónáját, ahonnan a fájl származik, és a letöltési URL-t. Amikor a felhasználó megpróbál megnyitni egy MoTW-attribútummal rendelkező fájlt, a Windows egy biztonsági figyelmeztetést jelenít meg, amely megkérdezi, hogy biztosan meg kívánja-e nyitni a fájlt.
Múlt hónapban a HP fenyegetéselemző csapata figyelmes lett egy adathalász támadásra, ami JavaScipt kódokkal futtatott zsarolóvírust az áldozatok eszközén. Némi elemzés után kiderült, hogy a támadók egy eddig ismeretlen Windows sérülékenység kihasználásával kijátszották a MoTW védelmi mechanizmust, így a figyelmeztető üzenet nem jelent meg az áldozatnál. A sebezhetőség a szkriptek digitális aláírását lehetővé tévő funkciót érinti.
A QBot malware
A QBot (más néven Qakbot), egy Windows malware, ami eredetileg banki trójai programként indult, azonban mára inkább dropperként ─ azaz további káros kódok betöltésére alkalmazzák. Korábban az Egregor és a Prolock zsarolóvírusműveletek a QBot terjesztőivel együttműködve jutottak be a vállalati hálózatokba, újabban pedig a QBot-fertőzések nyomán a Black Basta zsarolóvírus-támadások figyelhetők meg.
A QBot kampányról
A új adathalász kampány egy olyan e-maillel kezdődik, ami egy állítólagos dokumentumra mutató linket és a fájlhoz tartozó jelszót tartalmazza. Amennyiben rákattintunk a linkre, egy jelszóval védett ZIP-achívum töltődik le, amely egy másik zip-fájlt és egy IMG fájlt tartalmaz, benne a káros parancsokat tartalmazó további fájlokkal, amelyek végül a QBot malware letöltését és futását eredményezik.
A Microsoft október óta tud erről a nulladik napi sebezhetőségről, és most, hogy konkrét vírusterjesztő kampány is ismerté vált, remélhetőleg mielőbb ─ de legkésőbb a 2022. decemberi Patch Tuesday részeként ─ javítják.
Ha nem vagyunk biztosak egy üzenet hitelességében, inkább továbbítsuk az üzenetet az informatikai osztály munkatársai számára!
